B
今週中
セキュリティ研究者のAmmar Askar氏が、Visual Studio Code (VS Code) の脆弱性を悪用するPoC
📌 一言でいうと
セキュリティ研究者のAmmar Askar氏が、Visual Studio Code (VS Code) の脆弱性を悪用するPoCを公開しました。この脆弱性は、github.devなどのブラウザベースのVS Code環境において、悪意のあるリポジトリが「ワークスペース推奨機能」を通じて不正な拡張機能をインストールさせ、GitHubのOAuthトークンを窃取することを可能にします。研究者はMicrosoftの脆弱性報告への対応に不満を持ち、開示から短時間で情報を公開したとしています。
🔍該当判定
- Visual Studio Code (VS Code) を利用して開発を行っている
- ブラウザ上でGitHubリポジトリを開く機能「github.dev」を利用している
- VS Codeの「ワークスペース推奨(Workspace Recommendations)」機能を通じて、外部の拡張機能をインストールしたことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないリポジトリをブラウザベースの VS Code で開かないこと。また、不審な拡張機能のインストール推奨が表示された場合は、インストールせずに無視することを推奨します。